Department of Homeland Security will Open-Source sicherer machen

Das Department of Homeland Security (DHS) will US-Medienberichten zufolge automatisierte Security-Audits für Open-Source-Projekte finanzieren, um deren Sicherheit zu erhöhen. Dies sei notwendig, da die freien Projekte zunehmend in kritischen Umgebungen zum Einsatz kommen und daher kommerzielle Qualität benötigen würden.

Über drei Jahre verteilt zahlt das DHS dafür 1,24 Millionen US-Dollar aus: an die Universität Stanford 841.276 US-Dollar, an Coverity 297.000 US-Dollar und an Symantec 100.000 US-Dollar. Dazu wird die Stanford-Universität für das "Vulnerability Discovery and Remediation, Open Source Hardening Project" genannte Vorhaben ein System aufsetzen und pflegen, das täglich den Quellcode von populären Open-Source-Projekten nach Schwachstellen durchkämmt. Das System soll ab März dieses Jahres lauffähig sein. Die Datenbank mit den Scan-Ergebnissen wird den Software-Entwicklern zugänglich gemacht. Dadurch sollen die Entwickler etwa von Linux, des Apache Webservers, des BIND-DNS-Servers sowie des Firefox-Webbrowsers von dem System gefundene potenzielle Sicherheitslücken in der Codebasis beseitigen können, bevor die Fehler in Release-Versionen Einzug erhalten.

Symantec soll zu dem Projekt Sicherheitswissen beisteuern und die Software in seiner eigenen, proprietären Umgebung testen, um die Analyse-Software-Entwicklung von der Stanford-Universität und von Coverity zu unterstützen. Dazu wird ein derzeitig bereits laufendes Coverity-Projekt erweitert, das nach Fehlern in der Linux-Codebasis Ausschau hält.

David Park, Mitbegründer von Coverity, die sich um die Vermarktung der an der Stanford-Universität entwickelten Analyse-Technik kümmert, äußerte sich dazu, dass mit diesem Projekt die Qualität der Open-Source-Software auf die von kommerzieller angehoben wird. Open-Source-Entwickler hätten meist nicht das Geld für automatische Security-Audit-Werkzeuge und würden daher von Hand den Code durchkämmen, auf das Vier-Augen-Prinzip setzen oder derartige Audits gänzlich unterlassen. Die Erfahrungen, die während der Projektlaufzeit gesammelt werden, kämen auch kommerziellen Produkten zugute, da die Erkenntnisse in die Coverity-Werkzeuge mit einfließen.

Die Liste der überwachten Programme umfasst anfänglich unter anderem Apache, BIND, Ethereal, KDE, Linux, Firefox, FreeBSD, OpenBSD, OpenSSL und MySQL. Aus der Open-Source-Community ist hingegen auch Kritik zu vernehmen. Der Direktor der Apache-Foundation, Ben Laurie, begrüßt zwar die Initiative, bemängelt aber, dass die Analyse-Werkzeuge nicht an die Open-Source-Entwickler selbst verteilt werden. Private Unternehmen würden einmal mehr von dem DHS-Kuchen profitieren, während die Open-Source-Gemeinde um die Krümel betteln müsste. Für die Aufdeckung der Fehler zahle das DHS, während es für die Beseitigung keine Mittel bereitstelle.

Dawson Engler, Professor an der Uni Stanford, verteidigte aber das DHS. Unterm Strich bezahle es für die Nutzung von kommerzieller Fehler-Analyse-Software für Open-Source-Projekte. Er kommentiert: "Das Geld dient dazu, sie [die Open-Source-Entwickler] mit dem zu versorgen, was sie zum Beseitigen der Fehler benötigen, und das sind Meldungen von Fehlern. Das ist schon viel besser als das, was sie jetzt haben, was gar nichts ist." (dmk)